? ? ? ? 都說(shuō)Linux主機(jī)是非常安全的管毙，但有時(shí)卻不見(jiàn)得腿椎，第二次碰上Linux中木馬了（我運(yùn)氣這么好桌硫？）。

廢話不多說(shuō)酥诽，直接進(jìn)入主題鞍泉。

一、狀況描述：

? ? ? ?1肮帐、2017.06.19早上過(guò)來(lái)發(fā)現(xiàn)ssh連接不上，以及各個(gè)官網(wǎng)都訪問(wèn)不了边器；

? ? ? ? 2训枢、通過(guò)云主機(jī)廠商后臺(tái)登錄，發(fā)現(xiàn)nginx忘巧、tomcat恒界、svn應(yīng)用全部停止；

? ? ? ? 3砚嘴、ping www.google.com (云主機(jī)在US) 不通十酣；

二、問(wèn)題定位：

? ? ? ? 應(yīng)該是云主機(jī)被重啟了际长，同時(shí)斷開(kāi)了外網(wǎng)（有些應(yīng)用沒(méi)有設(shè)置為自啟動(dòng)）耸采，于是重啟公網(wǎng)的網(wǎng)卡后，ssh就可以登錄了工育，手工啟動(dòng)了nginx虾宇、

omcat、svn等應(yīng)用如绸，因?yàn)樯洗我舶l(fā)生過(guò)幾次這樣的情況嘱朽，據(jù)云廠商反饋，云主機(jī)對(duì)外發(fā)送大量的網(wǎng)絡(luò)包怔接，導(dǎo)致流量巨大搪泳，具體在Linux主機(jī)上的

體現(xiàn)就是cpu一直100%左右撐死，于是我懷疑是不是這次也是對(duì)外發(fā)送巨大的流量包扼脐，導(dǎo)致云主機(jī)廠商斷了主機(jī)的外網(wǎng)呢岸军？通過(guò)top命令查看

進(jìn)程發(fā)現(xiàn)并沒(méi)有cpu占用過(guò)高的進(jìn)程，就ifconfig 查看了下網(wǎng)卡情況谎势，顯示網(wǎng)卡流量在2.4G左右（由于是事后了凛膏，沒(méi)有截到先前的圖），感覺(jué)很迅

速脏榆，于是我就又?jǐn)嚅_(kāi)了一次猖毫，就沒(méi)管了，到中午午休后须喂，下午再次使用ifconfig吁断，此時(shí)流量對(duì)外發(fā)送大量的流量包趁蕊，累計(jì)流量竟然高達(dá)140G左右

（后面處理了，就累加了一點(diǎn)）：

這情況顯示仔役，肯定是中木馬掷伙，由于Linux主機(jī)上面沒(méi)有安裝一些關(guān)于流量分析的軟件，只從常用的top命令開(kāi)始又兵，發(fā)現(xiàn)并沒(méi)有cpu占用很高的進(jìn)程任柜，

但發(fā)現(xiàn)有兩個(gè)從來(lái)沒(méi)見(jiàn)過(guò)的進(jìn)程：MuYuHang 、LTF沛厨，通過(guò) /proc/進(jìn)程id 進(jìn)入對(duì)應(yīng)進(jìn)程文件宙地，ls -lh，發(fā)現(xiàn)可執(zhí)行文件竟然指向了Tomcat bin目錄

跟上次又是多么的相似逆皮，只是進(jìn)程和文件名不一樣罷了宅粥，于是簡(jiǎn)單的操作，kill -9 pid ?电谣，結(jié)果操作無(wú)效秽梅，很快進(jìn)程起來(lái)，而且文件刪除不了剿牺，報(bào)

operation not permitted（我可是用root用戶(hù)執(zhí)行的企垦，難道還有root干不了的事情？具體了解可查看資料 lsattr和）牢贸，刪除后竹观，過(guò)一會(huì)兒又自動(dòng)恢

復(fù)。

三潜索、ClamAV工具

? ? ? ?關(guān)于ClamAV工具的用途以及安裝臭增，請(qǐng)百度搜索相關(guān)介紹和安裝資料，大概說(shuō)一下竹习，ClamAV是Linux平臺(tái)的一個(gè)木馬掃描工具誊抛，可以掃描哪些

文件被感染了（但不能自動(dòng)清除這些病毒，沒(méi)有windows上面的殺毒軟件那么強(qiáng)大）整陌，我安裝在/home/clamav目錄下拗窃。

四、解決辦法

? ? ? 通過(guò)命令 /home/clamav/bin/clamscan -r --bell -i /泌辫，掃描這個(gè)根目錄發(fā)現(xiàn)有不少的文件被感染了：

? ? ? ?發(fā)現(xiàn)tomcat bin目錄下的2個(gè)文件果然是被感染的了随夸，同時(shí)發(fā)現(xiàn)有幾個(gè)命令也被感染了如ps、netstat以及l(fā)sof震放，于是我清除了bsd-port這個(gè)目

錄宾毒，同時(shí)把pythno清理，對(duì)于命令可以通過(guò)殿遂，從同版本的linux 沒(méi)有問(wèn)題的linux主機(jī)上面copy過(guò)來(lái)诈铛，刪除后進(jìn)行覆蓋即可（也可以刪除重裝）乙各，

再把tomcat的文件刪除，以及異常的進(jìn)程kill掉幢竹，再用clamav掃描發(fā)現(xiàn)沒(méi)有了耳峦，最后還需要檢查下/etc/init.d這個(gè)開(kāi)機(jī)啟動(dòng)的文件，檢查里面自動(dòng)啟

動(dòng)的焕毫，我這個(gè)里面就發(fā)現(xiàn)先前指向 /user/bin/bsd-port/knerl 這個(gè)蹲坷，文件已經(jīng)刪除了，我同時(shí)把對(duì)應(yīng)的sh邑飒，注釋掉冠句。目前來(lái)看，一切正常了幸乒。。唇牧。

五罕扎、總結(jié)

? ? ? ? 一次比較完整的定位問(wèn)題，平時(shí)一般很少接觸到查收木馬的事情丐重，碰上了就當(dāng)學(xué)習(xí)腔召，提升技能，只是不足扮惦，沒(méi)有搞清木馬是如何進(jìn)來(lái)的臀蛛，這

個(gè)需要后續(xù)不斷的學(xué)習(xí)。心好累崖蜜，Linux主機(jī)第二次中木馬了浊仆。。豫领。抡柿。